El CISNS aprueba la Estrategia de Ciberseguridad del Sistema Nacional de Salud 2025-2028

MADRID/TOLEDO 12 Nov. –

El Consejo Interterritorial del Sistema Nacional de Salud (CISNS) ha aprobado este miércoles la Estrategia de Ciberseguridad del SNS 2025-2028, un documento que el Ministerio de Sanidad considera clave para afrontar los retos de la digitalización sanitaria «desde un enfoque integral, preventivo y colaborativo».

La Estrategia ha sido elaborada con la participación activa de las comunidades autónomas, especialmente Andalucía, Cataluña, Comunidad Valenciana, Galicia y Baleares, «cuyas experiencias en la protección de activos digitales han contribuido de forma significativa a su definición», añade Sanidad.

La iniciativa, impulsada por el Ministerio de Sanidad, se enmarca en la Estrategia de Salud Digital y responde a un contexto marcado por el creciente número de ataques cibernéticos dirigidos a infraestructuras sanitarias, tanto a nivel nacional como internacional.

Según explica Sanidad, en los últimos años, se ha producido un «aumento significativo» de incidentes como ataques de ‘ransomware’, intentos de robo de datos clínicos o de accesos no autorizados a sistemas críticos, que «han puesto en riesgo la operatividad de servicios asistenciales y la confidencialidad de millones de historiales médicos».

«Estas amenazas, cada vez más sofisticadas, suponen un desafío estructural para la continuidad y seguridad del Sistema Nacional de Salud. Según datos del Instituto Nacional de Ciberseguridad (INCIBE), los ataques más frecuentes al sector sanitario en 2024 fueron ‘malware’, intrusiones, robo de datos y ‘ransomware’, afectando a centros de atención primaria y hospitales. A ello se suma la necesaria interconexión entre servicios sanitarios y el creciente despliegue de tecnologías digitales, lo que incrementa la superficie de exposición ante posibles vulnerabilidades», detallan desde el Ministerio.

En este contexto, Sanidad subraya que esta situación ha impulsado la necesidad de dotar al SNS de un marco «robusto y preventivo» que asegure la resiliencia operativa, el cumplimiento normativo y la confianza ciudadana en un entorno sanitario cada vez más digital.

El documento establece ocho objetivos estratégicos entre los que destacan: crear una red nacional de colaboración sobre ciberincidentes, garantizar la integridad y disponibilidad de los datos sanitarios, promover la formación continua en ciberseguridad para el personal sanitario, asegurar la continuidad asistencial frente a incidentes, y fomentar el cumplimiento normativo con estándares europeos como NIS2 o ENS. Además, se persigue posicionar al SNS como referente en Europa en ciberseguridad sanitaria, mediante el impulso a la innovación, la vigilancia tecnológica y la cooperación institucional.

La Estrategia se articula a través de 12 ejes estratégicos, que abarcan desde la gobernanza del modelo de ciberseguridad hasta la gestión de crisis, la protección de la cadena de suministro, la creación de un observatorio de madurez cibernética y la contratación segura de tecnologías y servicios. Cada eje incluye programas y proyectos concretos que serán implementados gradualmente, según una hoja de ruta nacional.

Esta Estrategia está alineada con la Estrategia Nacional de Ciberseguridad y las directrices europeas para sectores críticos. Su gobernanza será coordinada por la Secretaría General de Salud Digital, Información e Innovación, con la creación de una subcomisión específica de Ciberseguridad en el seno de la Comisión de Salud Digital.

«La implementación de esta Estrategia representa un avance decisivo para reforzar la resiliencia operativa del sistema sanitario público, garantizar la privacidad de los datos personales en un contexto de creciente digitalización y uso de soluciones de inteligencia artificial, y construir una cultura sólida de ciberseguridad en todo el SNS», concluyen el Ministerio.